LINUX.ORG.RU

Firewall для отдельных программ


0

0

Один пользователь запускает, к пример, одновременно два броузера и почтовик. Одному бровзеру можно ходить на все сайты, другому - только на HTTPS// с определнным адресом и никуда больше, почтовику - только POP3/IMAP и упаси боже не HTTP. Другим программам - в Инет только "по спецпропускам". Желательно еще и MD5-сумму файла, запустившего процесс проверить...

ВОПРОС: можно ли в IP tables осуществить разные правила для исходящих пакетов для разных процессов в системе, посылающих эти пакеты (сильно подозреваю, что просто так нельзя, что-то надо прикрутить к нему, а что?).

Как вопрос ограничения выхода отдельных программ в Инет с рабочей станции решается другими программами, желательно с проверкой подлинности, ведением логов и др. всякими функциями.

anonymous

Да, вариант поставить на машине локальный прокси и выпускать все програмы в Инет через него - не предалагать!

anonymous
()

Ты не все описал (на каких станциях пользователи работают - Win или Linux?), но посмотри на iptables параметр -m owner, возможно он тебе поможет.

saper ★★★★★
()

МММ я вообще не понимаю в чем проблема.
Раз вы так сильно озадачены безопастностью вам все карты в руки.
Берем исходники ищем места открытия портов.
быстренько все лишнее убираем, вбиваем свои порты и кушаем фан.
Открытые исходники круть ))

Так можно два броузера поставить одинг туда другой сюда.
А других програм в таком случае вообще быть не должно.

Ну и фаирвольчик чуть подконфигуить на тему портов и т д.
Еще чтонить в духе фаирвол 1 пикс и т д для определения если кто то не туда
ломится.

>ВОПРОС: можно ли в IP tables осуществить разные правила для исходящих
>пакетов для разных процессов в системе

Разве что на разные интерфейсы кидать не более.

И вообще для мониторинга пакетов от разных программ прийдется писать свою
прогу чтоб она мониторила и вовремя правила цепочки тайбэлса, подозреваю
что проще сразу написать модуль к ядру вместо кучи гемороя.

Удачи в геморое тьфу безопасности.

Aleks_IZA
()

Пользователи, сидят конечно в Lin и, по определенным причинам. нельзя им запретить какие-то программы запускать, которые могут что-то лишнее в Инет отправить. Или эти программы могут подменить, а проверять сумму перед каждым запуском нереально. Два броузера - просто один должен получать инфу ТОЛЬКО через https сервер, не откликаясь на http ссылки (то же и почтовые программы при просмотре html с фрэймами-ссылками), а другой ОДНОВРЕМЕННО работать по ДРУГИМ правилам. Просто в Виндах (будь они неладны) эта проблема решалась тривиально. Простейшие локальные файрволлы (типа outpost) могли создавать отдельные правила для отдельных программ и хранить базу MD5 на файлы, порождающие процессы. Стандартная опция. Самому, можно, конечно модуль создать. Но это надо мутить целый проект. Что-бы вcе вылавливали баги из него. А, что в Linuxe это никто еще не реализовал что-ли? Не верю!

anonymous
()

Параметр iprables --owner uid/gid/pid кажется мне подходит! Спасибо за совет, надо было мне просто внимательнее почитать man и написать простой скриптик, ну и поэкспериментировать с id немного. Все в *nixе хорошо продумано, лишний раз убеждаюсь!

Хотя - если у кого есть ссылки на готовые продвинутые скрипты на эту тему - ссылки пожалуйста...

anonymous
()

BTW iptables умеют и по имени программы вроде, md5 контролируй tripwire или rpm. А еще поставь chattr +i на броузеры и либы их (man chattr).

saper ★★★★★
()

>BTW iptables умеют и по имени программы вроде,
лечится приблизительно как в NT
переименованием icq->explorer

Aleks_IZA
()

Так для того и надо MD5 проверять на уровне "близком к самому файрволлу", в момент установления исходящего соединения. tripw, AIDE и Nabou - хорошо конечно, но нужно файлу с такой-то MD5 соединиться по такому-то порту с таким-то адресом. Может введут когда-нибудь такую опцию.

anonymous
()

А PID ведь все время разный! Какая от него польза?

anonymous
()

www.grsecurity.net - и будет тебе счастье.
P.S. Там много чего есть, ACL в частности, т.е. можно вообще запретить юзеру программу запускать и библиотеки читать.

sco-killer
()

2 sco-killer Брр! Похоже на LIDS, только не охота ради этого ядро патчить...

anonymous
()

есть маза написать свой обработчик на функции connect, sendto и затем по смотря на доп. группу вызывающего решать разрешать или нет -)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.